ΑρχικήSecurityΤο Aquabotv3 botnet εκμεταλλεύεται ευπάθεια σε τηλέφωνα Mitel

Το Aquabotv3 botnet εκμεταλλεύεται ευπάθεια σε τηλέφωνα Mitel

Το Aquabotv3, μια νέα παραλλαγή του botnet malware Aquabot, εκμεταλλεύεται την ευπάθεια CVE-2024-41710 σε τηλέφωνα Mitel SIP.

Aquabotv3 botnet malware τηλέφωνα Mitel

Η κακόβουλη δραστηριότητα ανακαλύφθηκε από ερευνητές της Akamai, οι οποίοι αναφέρουν ότι αυτή είναι η τρίτη παραλλαγή του Aquabot που έχει εντοπιστεί από την ομάδα.

Το malware botnet εμφανίστηκε πρώτη φορά το 2023 και αργότερα κυκλοφόρησε μια δεύτερη έκδοση με πρόσθετους μηχανισμούς persistence. Η τρίτη παραλλαγή, «Aquabotv3», εισήγαγε ένα σύστημα που ανιχνεύει termination signals και στέλνει τις πληροφορίες στον διακομιστή εντολών και ελέγχου (C2).

Advertisement

Η Akamai σχολιάζει ότι αυτός ο μηχανισμός για την αναφορά kill attempts είναι ασυνήθιστος για τα botnet. Πιθανότατα έχει προστεθεί για να παρέχει στους χειριστές του καλύτερη παρακολούθηση των επιθέσεων.

Δείτε επίσης: Νέο botnet εκμεταλλεύεται ευπάθειες σε κάμερες και routers

Στόχευση τηλεφώνων Mitel

Η CVE-2024-41710 είναι μια command injection ευπάθεια που επηρεάζει τα SIP τηλέφωνα Mitel 6800 Series, 6900 Series και 6900w. Αυτές οι συσκευές χρησιμοποιούνται, συνήθως, σε εταιρικά γραφεία, επιχειρήσεις, κυβερνητικούς φορείς, νοσοκομεία, εκπαιδευτικά ιδρύματα, ξενοδοχεία και χρηματοπιστωτικά ιδρύματα.

Πρόκειται για μια ευπάθεια μέτριας σοβαρότητας που επιτρέπει σε έναν επαληθευμένο εισβολέα, με δικαιώματα διαχειριστή, να πραγματοποιήσει μια επίθεση argument injection και να καταλήξει σε αυθαίρετη εκτέλεση εντολών.

Η Mitel έχει διορθώσει την ευπάθεια από τις 17 Ιουλίου 2024. Δύο εβδομάδες αργότερα, ο ερευνητής ασφάλειας Kyle Burns δημοσίευσε ένα proof-of-concept (PoC) exploit στο GitHub. Η χρήση αυτού του PoC από το Aquabotv3 για την εκμετάλλευση του CVE-2024-41710 είναι η πρώτη τεκμηριωμένη περίπτωση εκμετάλλευσης αυτής της ευπάθειας. Το γεγονός ότι οι επιθέσεις απαιτούν έλεγχο ταυτότητας υποδηλώνει ότι το botnet χρησιμοποιεί brute-forcing για να αποκτήσει αρχική πρόσβαση.

Οι εισβολείς δημιουργούν ένα αίτημα HTTP POST που στοχεύει το ευάλωτο τελικό σημείο 8021xsupport.html (υπεύθυνο για τις ρυθμίσεις ελέγχου ταυτότητας 802.1x στα τηλέφωνα Mitel SIP).

Η εφαρμογή επεξεργάζεται εσφαλμένα τα δεδομένα του χρήστη, επιτρέποντας την εισαγωγή δεδομένων με λανθασμένη μορφή στην τοπική διαμόρφωση του τηλεφώνου (/nvdata/etc/local.cfg).

Δείτε επίσης: Το MikroTik botnet χρησιμοποιεί εγγραφές SPF DNS για τη διάδοση malware

Μέσω της εισαγωγής line-ending χαρακτήρων (%dt → %0d), οι εισβολείς καταφέρνουν να εκτελέσουν ένα remote shell script (bin.sh) από τον διακομιστή τους.

Αυτό το script κατεβάζει και εγκαθιστά ένα Aquabot payload για την καθορισμένη αρχιτεκτονική (x86, ARM, MIPS, κ.λπ.), ορίζει τα δικαιώματα εκτέλεσής του χρησιμοποιώντας το ‘chmod 777’ και, στη συνέχεια, καθαρίζει τυχόν ίχνη.

Aquabotv3 botnet

Μόλις εξασφαλιστεί το persistence, το Aquabotv3 συνδέεται στο C2 του μέσω TCP για να λάβει οδηγίες, εντολές επίθεσης, ενημερώσεις ή πρόσθετα payloads.

Στη συνέχεια, προσπαθεί να μολύνει και άλλες συσκευές IoT χρησιμοποιώντας τα Mitel exploit, CVE-2018-17532 (TP-Link), CVE-2023-26801 (IoT firmware RCE), CVE-2022-31137 (Web App RCE), Linksys E-series RCE, Hadoop YARN και CVE-2018-10562 / CVE-2018-10561 (Dasan router bugs).

Το Aquabotv3 botnet προσπαθεί, επίσης, να κλέψει προεπιλεγμένα ή αδύναμα SSH/Telnet credentials σε μη ασφαλείς συσκευές στο ίδιο δίκτυο.

Ο στόχος του Aquabotv3 είναι να στρατολογήσει περισσότερες συσκευές για πραγματοποίηση DDoS επιθέσεων.

Στην έκθεση της Akamai μπορείτε να βρείτε τους δείκτες παραβίασης (IoC) που σχετίζονται με το Aquabotv3, καθώς και τα Snort και YARA rules για τον εντοπισμό του κακόβουλου λογισμικού.

Δείτε επίσης: Νέο botnet εκμεταλλεύεται ευπάθειες σε κάμερες και routers

Προστασία από botnet

Για την προστασία από αυτήν την απειλή, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις bοtnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.

Απαραίτητη είναι και η χρήση ενός αξιόπιστου προγράμματος ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.

Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet. Οι επιθέσεις bοtnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.

Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS